/////////////////////////////////////////////////////////
//DB接続にはPEARで提供されている、DBのライブラリを使用///
//より詳しい内容を知りたい場合は						/
//	http://www.phpbook.jp/pear/pear_db/					/
/////////////////////////////////////////////////////////

<?php
	//DBに接続する

	error_reporting(E_ALL & ~E_DEPRECATED);		//不要なエラー文を吐かないようにする
	require_once("DB.php");						//PEARのDBライブラリを読み込む

	$dsn = array(						//DBの接続先の情報を配列として定義
	    'phptype'  => 'mysqli',
	    'username' => 'daru',
	    'password' => 'daru',
	    'hostspec' => 'localhost',		//接続先のIPアドレス
	    'database' => 'mirai_gadget'	//接続先のDB名
	);

	$db = DB::connect($dsn);	//DBへ接続する



	//SELECT文の書き方
	if (PEAR::isError($db)) {	//DBの接続に失敗すればここでエラー文を出力
	    die($db->getMessage());
	}

	$sth = $db->query('select * from shouhin where id > ? and id < ? and name=?');		//実行したいSQL文
	$data = array(1, 4,'ドクターペッパー');		//上のSQLの1番目、2番目、3番目の 「?」 が配列の1番目、2番目、3番目にそれぞれ対応する

	$res =& $db->query($sth, $data);	//SQLを実行して、結果を $res に代入
	if (PEAR::isError($res)) {			//SQLの実行に失敗すればここでエラー文を出力
		die($res->getMessage());
	}

	while ($row =& $res->fetchRow(DB_FETCHMODE_ASSOC)) {	//SQLの実行結果を表示
	    echo $row['price'];		//テーブルの項目名を指定
	}






	//UPDATE,DELETE,INSERT文の書き方

	$sql = "UPDATE shouhin SET name = ? ,price = ? WHERE id = ? ";
	$stmt = $db->prepare($sql);

	$data = array('ドクターペッパー',180,100);

	$db->execute($stmt, $data);		//UPDATE文を実行
	if (PEAR::isError($db)) {		//SQLの実行に失敗すればここでエラー文を出力
    	die($res->getMessage());
	}
?>




	///////////////////////////////////
	//クロスサイトスクリプティング対策/
	///////////////////////////////////

<?php

	//$_GET["title"],$_POST["title"]のサーバー変数を利用する際は、htmlspecialchars関数で必ずエスケープ処理をする
	htmlspecialchars($_GET["title"],ENT_QUOTES,"UTF-8");

?>

















